92,000 D-Link NASデバイスがマルウェア攻撃に脆弱

ハッカーは、影響を受けたデバイス上で任意のコマンド実行を行い、機密情報にアクセスすることを可能にする未修正の脆弱性を持つ4つの古いD-Linkネットワークエリアストレージ（NAS）デバイスをスキャンし、積極的に悪用しています。

D-Linkは先週のアドバイザリーでこの欠陥を確認しました。サポート終了（“EOS”）/ライフサイクル終了（“EOL”）製品を退役させ、交換するようユーザーに促しています。つまり、ユーザーはD-Linkの新しいNASシステムのいずれかを購入する必要があります。

この脆弱性は約92,000台のD-Linkデバイスに影響を及ぼし、モデルには以下が含まれます：DNS-320L バージョン 1.11、バージョン 1.03.0904.2013、バージョン 1.01.0702.2013、DNS-325 バージョン 1.01、DNS-327L バージョン 1.09、バージョン 1.00.0409.2013、およびDNS-340L バージョン 1.08。

CVE-2024-3272（CVSSスコア：9.8）およびCVE-2024-3273（CVSSスコア：7.3）として追跡される前者の欠陥は、パスワードがないハードコーディングされた「バックドア」アカウントに関するものであり、後者はHTTP GETリクエストを実行することでデバイス上で任意のコマンドを実行できるコマンドインジェクションの欠陥です。

「脆弱性はnas_sharing.cgi URIにあり、ハードコーディングされた資格情報によって有効化されたバックドアとシステムパラメータを介したコマンドインジェクションの2つの主要な問題に起因します」と、3月26日にこの脆弱性を発見し公表したセキュリティ研究者である“netsecfish”は述べています。

「この悪用は、影響を受けたD-Link NASデバイス上で任意のコマンド実行を引き起こし、攻撃者に機密情報への潜在的なアクセス、システム構成の変更、またはサービス拒否を許可する可能性があります。これにより、インターネット上の92,000台以上のデバイスに影響を与えます。」

脅威インテリジェンス企業GreyNoiseは、攻撃者がD-Linkデバイスをリモートで指揮するMiraiマルウェア（skid.x86）のバリアントを展開するために脆弱性を武器化しようとしているのを確認したと述べています。Miraiのバリアントは通常、感染したデバイスをボットネットに追加し、大規模な分散サービス拒否（DDoS）攻撃に使用されるように設計されています。

さらに、非営利の脅威研究組織であるShadowServer Foundationも、実際に脆弱性の悪用試行を検出しており、「複数のIPからのスキャン/悪用を確認しています」と述べています。

「私たちは、CVE-2024-3273（EOLのD-Linkネットワークエリアストレージデバイスの脆弱性）に対する複数のIPからのスキャン/悪用を確認し始めました。これは、バックドアとコマンドインジェクションを連鎖させてRCEを達成することを含みます」と、X（旧Twitter）での投稿で述べています。

修正がないため、Shadowserver Foundationはユーザーに対して、デバイスをオフラインにするか、交換するか、少なくともリモートアクセスをファイアウォールで保護して潜在的な脅威をブロックすることを推奨しています。

D-Link NASデバイスの脆弱性はユーザーにとって重大な脅威をもたらし、サイバーセキュリティに対する警戒を維持する必要性を強調し、定期的なサイバーセキュリティの更新の重要性を浮き彫りにしています。悪意のある行為者による悪用を防ぐために、ユーザーは推奨される予防措置に従ってデバイスを保護し、データを守ることができます。